- •Оглавление
- •Введение
- •1. Понятие и сущность информационной безопасности
- •1.1 Основные понятия информационной безопасности
- •1.2. Виды и состав угроз информационной безопасности
- •Угрозы промышленного шпионажа и основные способы его ведения
- •1.4. Направления обеспечения информационной безопасности
- •2. Основные виды защищаемой информации
- •2.1. Особенности защищаемой информации
- •2.2. Виды защищаемой информации
- •2.3. Разработка перечня сведений ограниченного доступа на предприятии
- •3. Правовые основы информационной безопасности
- •Система правовой защиты информации
- •3.2. Ответственность за нарушение законодательства в информационной сфере
- •3.3. Отечественные и зарубежные стандарты в области информационной безопасности
- •4. Техническая защита информации
- •4.1. Технические средства защиты информации
- •4.2. Программные средства защиты информации
- •4.3. Программно-технические средства защиты информации
- •5. Физическая защита информации
- •6. Криптографическая защита информации
- •7. Организационная защита информации
- •7.1. Организационные мероприятия по защите информации
- •7.2. Организация подразделения по защите информации
- •7.3. Организация охраны и режима
- •7.4. Организация работы с персоналом в системе информационной безопасности
- •7.5. Организация конфиденциального делопроизводства
- •7.6. Аналитическая работа по выявлению каналов утраты информации
- •7.7. Комплексное управление системой защиты информации
- •7.8. Нормативно-методическое обеспечение защиты информации
- •Заключение
- •Методические указания по выполнению контрольной работы
- •Список литературы
2.3. Разработка перечня сведений ограниченного доступа на предприятии
Собственник информационных ресурсов вправе ограничивать доступ к конфиденциальной информации, определяя состав данного перечня для предприятия или организации.
Определение состава защищаемой информации требует решения трех задач.
Определение состава информации, ограничение доступа к которой запрещено законодательством, и соответственно вычленение ее из состава защищаемой информации.
Определение состава используемой (полученной) информации, необходимость защиты которой обусловлена причинами, не зависящими от предприятия. Такая информация включает:
государственную тайну;
коммерческую тайну контрагентов;
служебную информацию ограниченного распространения, полученную от органов государственной власти или других организаций;
персональные данные;
различные виды профессиональных тайн (врачебную, нотариальную, адвокатскую и т.п.);
Определение состава информации, необходимость защиты которой обусловлена интересами предприятия. Такая информация включает:
коммерческую тайну предприятия;
служебную информацию ограниченного распространения, обладателем которой является предприятие.
При решении проблемы определения круга сведений, составляющих коммерческую тайну (КТ), а также возможного распределения их по категориям важности в зависимости от их ценности для предприятия, характера и размера ущерба, который может быть нанесен предприятию при разглашении этих сведений, необходимо учитывать, что упущенные из внимания сведения могут привести к снижению эффективности всей системы защиты КТ, а избыточные меры по ограничению доступа к информации осложнят работу и приведут к неоправданным экономическим издержкам. Правильное определение информации, составляющей КТ, должно способствовать прибыльности предприятия и не накладывать неоправданные ограничения на его деятельность.
Сведения, составляющие коммерческую тайну предприятия, отражаются в Перечне. Практика показывает, что подготовка Перечня путем организации работы экспертной комиссии в порядке, применяемом при формировании развернутого перечня сведений, подлежащих отнесению к КТ, является наиболее оптимальным алгоритмом. В целях реализации такого алгоритма приказом руководителя предприятия создается экспертная комиссия из наиболее квалифицированных и компетентных специалистов структурных подразделений предприятия, допускаемых к КТ, и представителей службы защиты информации. Такие специалисты должны знать деятельность предприятия в целом и особенности работы подразделений, от которых они назначены.
Экспертная комиссия осуществляет анализ всех сторон управленческой, производственно-технической, научно-исследовательской, опытно-конструкторской и другой деятельности предприятия и подчиненных ему организаций с целью выявления сведений, относящихся к КТ и подлежащих включению в Перечень.
Организационное и методическое руководство по разработке Перечня возлагается на заместителя руководителя предприятия по безопасности. Численный состав определяется исходя из масштабов предприятия, при этом в состав комиссии обязательно включаются:
специалист по организации работы предприятия в целом и ее особенностям;
специалист по особенностям рынка в данном секторе экономики;
специалист по финансовым вопросам;
специалист, обладающий сведениями о выпускаемой продукции, технологическом цикле ее проектирования и производства, прохождении всех видов информации (устной, документальной, в виде образцов, узлов, блоков, готовой продукции);
специалиста по связям с другими предприятиями, а также по вопросам заключения контрактов, договоров.
В ходе работы комиссии эксперты знакомятся только с теми конкретными сведениями, к которым они допускаются в соответствии с должностными обязанностями. Такой подход позволяет предотвратить необоснованное распространение коммерческой тайны уже на этапе формирования Перечня.
Задачи экспертной комиссии:
выделить виды деятельности предприятия, приносящие прибыль;
оценить степень прибыльности данного вида деятельности по сравнению с другими предприятиями;
определить вероятную перспективу рентабельности этой деятельности.
Если экономические показатели деятельности предприятия в данной области выше или в перспективе могут быть выше, чем у других предприятий, осуществляющих аналогичную деятельность, то, возможно, предприятие располагает КТ в этой области, и необходимо продолжить анализ соответствующих сведений с целью определить, что именно в данном виде деятельности позволяет получать прибыль.
Работа по формированию Перечня может состоять из следующих этапов:
составление предварительного Перечня, подлежащего рассмотрению экспертной комиссией;
определение возможного ущерба, наступающего в результате распространения сведений, составляющих КТ;
определение преимуществ открытого использования рассматриваемых сведений;
определение затрат на защиту рассматриваемых сведений;
принятие решения о включении сведений в Перечень;
оформление результатов работы.